OpenAIとMicrosoftは共同で、ハッカーがどのように大規模言語モデル（LLM）を使用し、悪意あるサイバー活動に利用していたかを報告し、合わせて5つの国家系脅威行為者アカウントを削除した事を報告している。

組織化されたサイバー犯罪者が、新しい種類の攻撃に生成AIのツールやサービスを使い始めていることは、必ずしも衝撃的なことではない。むしろ、この技術が発展を続けていく中で、その性質を考えればむしろ当然の流れとも言える。

今回具体的に両社が特定したのは、中国、イラン、北朝鮮、ロシアを拠点としている5つのグループだ。そのうちの1つは「Forest Blizzard」と名付けられ、ロシアのGRUユニット26165とつながっている。Microsoftによると、このグループは現在進行中のウクライナ侵攻に関連する組織を標的として活動しているという。

彼らはOpenAIのモデルを、企業やサイバーセキュリティツールの調査、技術記事の翻訳、コードのデバッグ、フィッシングキャンペーン用の悪意のあるスクリプトやコンテンツの作成などの作業に使用していたという。

Microsoftは、Forest Blizzardが「衛星通信プロトコル、レーダー画像技術、特定の技術パラメータを理解するためにLLMを使用してきた」とも主張している。その調査では、このグループはファイルの選択や操作のようなタスクもLLMで自動化しようとしていると付け加えている。

Microsoftは更に、別のサイバー犯罪グループ「Salmon Typhoon」と名付けられたグループも、AIを利用していると述べている。中国を拠点とするこのグループは、政府機関や米国の防衛関連企業を標的にした過去がある。Microsoftによると、Salmon Typhoonは、コーディングエラーの発見や技術計算書の翻訳などのさまざまな方法でLLMを使用しているという。

OpenAIによると、このハッカーの活動は、OpenAIが外部のサイバーセキュリティ専門家とともに実施した過去のレッドチーム評価と一致しているという。

これらの評価では、GPT-4は「悪意のあるサイバーセキュリティタスクのための限定的で漸進的な機能」を提供しており、OpenAIは、LLMを利用したからといって、特別高度な攻撃が可能になることはないと主張している。

ただし、サイバーセキュリティ企業の報告によると、ChatGPTのようなツールによって攻撃のアイデアや設計をより簡単かつ迅速に思いつくことができるようになったため、洗練されたフィッシングが増加しているとのことだ。

OpenAIは最近、GPT-4が従来のインターネット・ツールよりも効率的に生物兵器を作成できるかどうかを調査する実験を発表した。その結果、GPT-4は役に立つが、その差は小さいことが示されたとしている。

Microsoft Threat Intelligenceと協力し、OpenAIは5人の行為者全員のシャットダウンに成功した。

Microsoft は、今後もOpenAIと提携し、サイバー犯罪者によるAIの利用を研究していくとしている。

Source

• Microsoft Security: Staying ahead of threat actors in the age of AI
• OpenAI: Disrupting malicious uses of AI by state-affiliated threat actors